Erkennungsdienste

Diese Seite enthält eine Liste der Erkennungsdienste, die manchmal auch sogenannte Sicherheitsquellen. Sie werden von Security Command Center verwendet, Sicherheitsprobleme in Ihren Cloud-Umgebungen.

Wenn diese Dienste ein Problem erkennen, generieren sie einen Ergebnisdatensatz. Dieser Datensatz enthält Informationen zum Sicherheitsproblem und hilft Ihnen, das Problem zu priorisieren und zu beheben.

Sie können Ergebnisse in der Google Cloud Console aufrufen und auf viele verschiedene Arten filtern, z. B. nach Ergebnistyp, Ressourcentyp oder einem bestimmten Asset. Jede Sicherheitsquelle kann weitere Filter enthalten, mit denen Sie die Ergebnisse organisieren können.

Die IAM-Rollen für Security Command Center können in der Organisation, Ordner- oder Projektebene. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Dienste zur Erkennung von Sicherheitslücken

Dienste zur Erkennung von Sicherheitslücken umfassen integrierte und integrierte Dienste die Sicherheitslücken in der Software, Fehlkonfigurationen und Sicherheitsstatus in Ihren Cloud-Umgebungen. Zusammengenommen werden diese Typen der Sicherheitsprobleme werden als Sicherheitslücken bezeichnet.

Dashboard für den GKE-Sicherheitsstatus

Das GKE-Sicherheitsstatus-Dashboard ist eine Seite in der Google Cloud Console, auf der Sie fundierte, umsetzbare Informationen zu potenziellen Sicherheitsproblemen in Ihren GKE-Clustern erhalten.

Wenn Sie eines der folgenden Dashboards für den GKE-Sicherheitsstatus aktivieren sehen Sie die Ergebnisse in der Standard-Stufe von Security Command Center oder Premium-Stufe:

Dashboard-Feature für GKE-Sicherheitsstatus Security Command Center-Ergebnisklasse
Prüfung der Arbeitslastkonfiguration MISCONFIGURATION
VULNERABILITY

Die Ergebnisse enthalten Informationen zum Sicherheitsproblem Empfehlungen zur Behebung der Probleme in Ihren Arbeitslasten oder Clustern.

Ergebnisse des GKE-Sicherheitsstatus-Dashboards in der Console aufrufen

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option GKE-Sicherheitsstatus aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
  3. Wählen Sie GKE-Sicherheitsstatus aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

IAM Recommender

Der IAM Recommender gibt Empfehlungen heraus, mit denen Sie die Sicherheit verbessern können, indem Sie IAM-Rollen von Hauptkonten entfernen oder ersetzen, wenn die Rollen IAM-Berechtigungen enthalten, die das Hauptkonto nicht benötigt.

IAM-Recommender-Ergebnisse aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie die Ergebnisse des IAM-Empfehlungstools in Security Command Center:

  1. Rufen Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center den Tab Integrierte Dienste auf:

    Einstellungen aufrufen

  2. Scrollen Sie gegebenenfalls nach unten zum Eintrag IAM Recommender.

  3. Wählen Sie rechts neben dem Eintrag Aktivieren oder Deaktivieren aus.

Ergebnisse aus dem IAM-Recommender werden als Sicherheitslücken klassifiziert.

Maximieren Sie den folgenden Abschnitt, um Probleme mit einem IAM-Recommender-Ergebnis zu beheben: Tabelle mit den Ergebnissen des IAM-Recommenders. Die Abhilfemaßnahmen für jedes Ergebnis im Tabelleneintrag enthalten sein.

Ergebnisse des IAM Recommenders in der Console aufrufen

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option IAM Recommender Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
  3. Wählen Sie IAM Recommender aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

In der Google Cloud Console können Sie sich die Empfehlungen des IAM-Recommenders auch auf der Seite Sicherheitslücken ansehen. Wählen Sie dazu die Abfragevorlage IAM-Recommender aus.

Mandiant Attack Surface Management

Mandiant ist ein weltweit führender Anbieter von Frontline-Threat-Intelligence. Mandiant Attack Surface Management identifiziert Sicherheitslücken und Fehlkonfigurationen in Ihren externen Angriffsflächen, damit Sie auf dem neuesten Stand bleiben und sich vor den neuesten Cyberangriffen schützen können.

Mandiant Attack Surface Management wird automatisch aktiviert, wenn Sie die Die Stufe und Ergebnisse von Security Command Center Enterprise sind in der Google Cloud Console verfügbar.

Informationen zu den Unterschieden des eigenständigen Produkts Mandiant Attack Surface Management aus der Integration von Mandiant Attack Surface Management in Security Command Center, siehe ASM und Security Command Center im Dokumentationsportal von Mandiant. Für diesen Link ist eine Mandiant-Authentifizierung erforderlich.

Ergebnisse von Mandiant Attack Surface Management in der Konsole ansehen

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Mandiant Attack Surface Management. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
  3. Wählen Sie Mandiant Attack Surface Management aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Policy Controller

Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster. Diese Richtlinien dienen als Schutzmaßnahmen und können mit Best Practices, Sicherheits- und Compliance-Management Ihrer Cluster und Flotte.

Wenn Sie Policy Controller installieren und entweder das Policy Controller-Bundle „CIS Kubernetes Benchmark v1.5.1“ oder das Policy Controller-Bundle „PCI-DSS v3.2.1“ oder beide aktivieren, schreibt Policy Controller Clusterverstöße automatisch als Misconfiguration-Klassenergebnisse in Security Command Center. Ergebnisbeschreibung und nächste Schritte in Security Command Center Die Ergebnisse sind mit der Beschreibung der Einschränkung und den Schritten zur Behebung identisch des entsprechenden Policy Controller-Bundles.

Die Policy Controller-Ergebnisse stammen aus den folgenden Policy Controller-Bundles:

Informationen zum Ermitteln und Beheben von Policy Controller-Ergebnissen finden Sie unter Probleme mit Policy Controller-Ergebnissen beheben

Risk-Engine

Die Security Command Center Risk Engine bewertet die Risikoexposition Cloud-Bereitstellungen, weist den Ergebnissen von Sicherheitslücken Angriffsrisikobewertungen zu und Ihre hochwertigen Ressourcen und zeigt Pfade, die ein potenzielles die Angreifer greifen könnten, um Ihre hochwertigen Ressourcen zu erreichen.

In der Enterprise-Stufe von Security Command Center die Risk Engine erkennt Gruppen von Sicherheitsproblemen, die, wenn sie zusammen in einem Musters einen Pfad zu einem oder mehreren umsatzstarken Ressourcen, die ein entschlossener Angreifer um diese Ressourcen zu erreichen und zu kompromittieren.

Wenn Risk Engine erkennt einer dieser Kombinationen wird ein Ergebnis der Klasse TOXIC_COMBINATION ausgegeben. In der Meldung wird „Risk Engine“ als Quelle des Ergebnisses aufgeführt.

Weitere Informationen finden Sie unter Übersicht über schädliche Kombinationen.

Security Health Analytics

Security Health Analytics ist ein integrierter Erkennungsservice von Security Command Center, der verwaltete Scans Ihrer Cloud-Ressourcen durchführt, um häufige Fehlkonfigurationen zu erkennen.

Wenn eine Fehlkonfiguration erkannt wird, gibt Security Health Analytics ein Ergebnis aus. Die meisten Ergebnisse von Security Health Analytics werden Sicherheitsstandardkontrollen zugeordnet damit Sie die Compliance bewerten können.

Security Health Analytics scannt Ihre Ressourcen in Google Cloud. Wenn Sie die Enterprise-Stufe verwenden und Verbindungen zu anderen Cloud-Plattformen herstellen, können Ihre Ressourcen auf diesen Cloud-Plattformen auch mit Security Health Analytics geprüft werden.

Je nach verwendeter Security Command Center-Dienststufe sind unterschiedliche Detektoren verfügbar:

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

Weitere Informationen finden Sie unter:

Dienst für den Sicherheitsstatus

Die Service für den Sicherheitsstatus ist ein integrierter Dienst für die Premium-Stufe von Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud bewerten und überwachen. Sie enthält Informationen dazu, inwiefern Ihre Umgebung den Richtlinien entspricht, die Sie in Ihrem Sicherheitsstatus definieren.

Der Dienst für den Sicherheitsstatus hat nichts mit der GKE-Plattform zu tun. Dashboard für den Sicherheitsstatus: Enthält nur Ergebnisse in GKE Cluster.

Schutz sensibler Daten

Der Schutz sensibler Daten ist ein vollständig verwalteter Google Cloud-Dienst, mit dem Sie sensible Daten besser ermitteln, klassifizieren und schützen können. Mit Sensitive Data Protection können Sie feststellen, ob Sie sensible oder personenidentifizierbare Informationen (PII) speichern, z. B.:

  • Personennamen
  • Kreditkartennummern
  • Nationale oder staatliche Ausweisnummern
  • Krankenversicherungsnummern
  • Secrets

Im Rahmen des Schutzes sensibler Daten wird jeder Typ sensibler Daten, nach dem Sie suchen, als infoType bezeichnet.

Wenn Sie Ihren Sensitive Data Protection-Vorgang zum Senden an Security Command Center senden, können Sie die Ergebnisse direkt in der im Bereich Security Command Center der Google Cloud Console. Sensitive Data Protection.

Sicherheitslücken aus dem Erkennungsdienst für den Schutz sensibler Daten

Mit dem Dienst zur Erkennung sensibler Daten können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.

Kategorie Fazit

Public sensitive data

Kategoriename in der API:

PUBLIC_SENSITIVE_DATA

Ergebnisbeschreibung: Die angegebene Ressource wurde hochsensible Daten auf die jeder im Internet zugreifen kann.

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Behebung:

Entfernen Sie für Google Cloud-Daten allUsers und allAuthenticatedUsers aus der IAM-Richtlinie des Daten-Assets.

Bei Amazon S3-Daten Einstellungen zum Blockieren des öffentlichen Zugriffs konfigurieren oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verhindern.

Compliance-Standards: Nicht zugeordnet

Secrets in environment variables

Kategoriename in der API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ergebnisbeschreibung: Es gibt wie Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten Umgebungsvariablen für Cloud Run-Funktionen.

Informationen zum Aktivieren dieses Detektors finden Sie unter Secrets in Umgebungsvariablen an Security Command Center melden in der Dokumentation zum Schutz sensibler Daten.

Unterstützte Assets: cloudfunctions.googleapis.com/CloudFunction

Problembehebung: Entfernen Sie das Secret aus der Umgebungsvariablen und in Secret Manager speichern .

Compliance-Standards:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Kategoriename in der API:

SECRETS_IN_STORAGE

Ergebnisbeschreibung: Es gibt als Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten .

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Behebung:

  1. Verwenden Sie Sensitive Data Protection für Google Cloud-Daten, um Deep Inspector-Scan der angegebenen Ressource ausführen um alle betroffenen Ressourcen zu identifizieren. Wenn Sie Cloud SQL-Daten verwenden möchten, exportieren Sie sie in eine CSV-Datei. oder AVRO-Datei in einem Cloud Storage-Bucket speichern und einen detaillierten Inspektionsscan der Bucket.

    Prüfen Sie bei Amazon S3-Daten den angegebenen Bucket manuell.

  2. Entfernen Sie die erkannten Secrets.
  3. Sie können die Anmeldedaten zurücksetzen.
  4. Speichern Sie die erkannten Secrets für Google Cloud-Daten stattdessen in Secret Manager.

Compliance-Standards: Nicht zugeordnet

Beobachtungsergebnisse aus Sensitive Data Protection

In diesem Abschnitt werden die Beobachtungsergebnisse beschrieben, die Sensitive Data Protection in Security Command Center generiert.

Beobachtungsergebnisse des Discovery-Dienstes

Mit dem Dienst zur Erkennung sensibler Daten können Sie feststellen, ob Ihre Daten bestimmte Infotypen enthalten und wo sie sich in Ihrer Organisation, in Ihren Ordnern und in Ihren Projekten befinden. Sie generiert die folgenden Kategorien mit Beobachtungsergebnissen in Security Command Center:

Data sensitivity
Ein Hinweis auf die Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset. Daten sind sensibel, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die möglicherweise erforderlich sind zusätzliche Kontrolle oder Verwaltung. Der Schweregrad des Ergebnisses sensibilisieren Sie den Schutz sensibler Daten. berechnet, wenn Generieren des Datenprofils.
Data risk
Das mit den Daten in ihrem aktuellen Zustand verbundene Risiko. Beim Berechnen von Daten berücksichtigt, berücksichtigt der Schutz sensibler Daten die Empfindlichkeitsstufe die Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen, um diese zu schützen Daten. Der Schweregrad des Ergebnisses ist die Datenrisikostufe, die vom Sensitive Data Protection-System beim Erstellen des Datenprofils berechnet wurde.

Nach dem Erstellen der Datenprofile durch den Schutz sensibler Daten kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse im Security Command Center angezeigt werden.

Informationen zum Senden von Datenprofilergebnissen an das Security Command Center finden Sie unter den folgenden Links:

Beobachtungsergebnisse aus dem Sensitive Data Protection-Prüfdienst

Bei einem Inspektionsjob für den Schutz sensibler Daten werden alle Dateninstanzen eines bestimmten Datentyps in einem Speichersystem wie einem Cloud Storage-Bucket oder einer BigQuery-Tabelle ermittelt. Sie können beispielsweise einen Inspektionsjob ausführen, Sucht nach allen Strings, die dem infoType-Detektor CREDIT_CARD_NUMBER entsprechen in einem Cloud Storage-Bucket.

Für jeden InfoType-Detektor mit einer oder mehreren Übereinstimmungen generiert der Sensitive Data Protection-Dienst ein entsprechendes Security Command Center-Ergebnis. Die Kategorie der Ergebnisse ist der Name des infoType-Detektors, für den eine Übereinstimmung gefunden wurde, z. B. Credit card number. Das Ergebnis enthält die Anzahl übereinstimmender Zeichenfolgen, die in Text oder Bildern in der Ressource erkannt wurden.

Aus Sicherheitsgründen sind die tatsächlich erkannten Strings nicht im Ergebnis enthalten. Ein Credit card number-Ergebnis zeigt beispielsweise, wie viele Kreditkartennummern wurden gefunden, die tatsächlichen Kreditkartennummern werden jedoch nicht angezeigt.

Da mehr als 150 integrierte infoType-Detektoren Sensitive Data Protection, sind alle möglichen Ergebniskategorien von Security Command Center nicht verfügbar die hier aufgeführt sind. Eine vollständige Liste der infoType-Detektoren finden Sie unter infoType-Detektoren Referenz.

Informationen zum Senden der Ergebnisse eines Inspektionsjobs an das Security Command Center finden Sie unter Ergebnisse von Inspektionsjobs zum Schutz sensibler Daten an das Security Command Center senden.

Ergebnisse zum Schutz sensibler Daten in der Console prüfen

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Schutz sensibler Daten Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

Security Operations Console

  1. Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
  3. Wählen Sie Schutz sensibler Daten aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
  4. Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

So verwenden Sie VM Manager mit Aktivierungen auf Projektebene Security Command Center Premium aktivieren, Security Command Center Standard aktivieren in der übergeordneten Organisation.

Wenn Sie VM Manager mit der Security Command Center Premium-Stufe aktivieren, schreibt VM Manager automatisch high- und critical-Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).

Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.

Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen. VM Manager unterstützt die Patchverwaltung auf der auf der Ebene einzelner Projekte.

Informationen zur Behebung von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse beheben

Wie Sie das Schreiben von Sicherheitslücken in Security Command Center beenden, erfahren Sie unter VM Manager-Ergebnisse ausblenden.

Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.

Detektor Fazit Asset-Scaneinstellungen

OS vulnerability

Kategoriename in der API: OS_VULNERABILITY

Beschreibung: VM Manager hat eine Sicherheitslücke im das für eine Compute Engine-VM installierte Betriebssystempaket.

Preisstufe: Premium

Unterstützte Assets

compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

VM Manager Berichte zu Sicherheitslücken Details zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine VMs, einschließlich Common Vulnerabilities and Exposures (CVEs).

Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zum Betriebssystem

Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:

  • Wenn ein Paket im Betriebssystem einer VM installiert oder aktualisiert wird, Common Vulnerabilities and Exposures (CVEs) Informationen für die VM in Security Command Center innerhalb von zwei Stunden nach der Änderung.
  • Wenn neue Sicherheitshinweise für ein Betriebssystem veröffentlicht werden, werden aktualisierte CVEs normalerweise innerhalb von 24 Stunden nach der Veröffentlichung des Betriebssystems verfügbar. nicht empfohlen.

Sicherheitslückenbewertung für AWS

Mit der Sicherheitslückenbewertung für Amazon Web Services (AWS) werden Softwarelücken in Ihren Arbeitslasten erkannt, die auf EC2-VMs (virtuelle Maschinen) auf der AWS-Cloud-Plattform ausgeführt werden.

Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS ein Vulnerability-Ergebnis der Klasse Software vulnerability in Security Command Center.

Der Dienst „Sicherheitslückenbewertung für AWS“ scannt Snapshots der laufenden EC2-Maschineninstanzen. Produktionsarbeitslasten sind daher nicht betroffen. Diese Scanmethode ist als Laufwerksscan ohne Agent bezeichnet, da keine Agents installiert sind. Scanziele.

Hier finden Sie weitere Informationen:

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt.

Wenn Security Command Center aktiviert ist, Organisationsebene, können Sie mit verwalteten Scans grundlegende Webanwendungen zentral verwalten Schwachstellenerkennung für Projekte in Ihrem Unternehmen, einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, werden die Ergebnisse des verwalteten Scans sind automatisch auf der Seite Vulnerabilities (Sicherheitslücken) in Security Command Center verfügbar und zugehöriger Berichte. Informationen zum Aktivieren von Web Security Scanner Verwaltete Scans, siehe Konfigurieren Sie Security Command Center-Dienste.

Verwaltete Scans unterstützen nur Anwendungen, die den Standardport 80 verwenden für HTTP-Verbindungen und 443 für HTTPS-Verbindungen. Wenn Ihre Anwendung keinen Standardport verwendet, führen Sie stattdessen einen benutzerdefinierten Scan durch.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten.

Benutzerdefinierte Scans werden auf Projektebene definiert.

Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Detektoren und Compliance

Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.

Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. Im In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie Ergebnisbeschreibung OWASP 2017 Top 10 OWASP 2021 Top 10

Accessible Git repository

Kategoriename in der API: ACCESSIBLE_GIT_REPOSITORY

Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01

Accessible SVN repository

Kategoriename in der API: ACCESSIBLE_SVN_REPOSITORY

Ein SVN-Repository ist öffentlich zugänglich. Entfernen Sie „Öffentlich“, um dieses Ergebnis zu klären unbeabsichtigter Zugriff auf das SVN-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01

Cacheable password input

Kategoriename in der API: CACHEABLE_PASSWORD_INPUT

In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A3 A04

Clear text password

Kategoriename in der API: CLEAR_TEXT_PASSWORD

Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A3 A02

Insecure allow origin ends with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Origin Anfrageheader, bevor sie im Access-Control-Allow-Origin widergespiegelt werden -Antwortheader. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts Origin ist, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben. Stellen Sie bei Subdomain-Platzhaltern den Punkt zur Stammdomain hinzu, z. B. .endsWith(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01

Insecure allow origin starts with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix von Origin Anfrageheader, bevor sie im Access-Control-Allow-Origin widergespiegelt werden -Antwortheader. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert Origin übereinstimmt, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben, z. B. .equals(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01

Invalid content type

Kategoriename in der API: INVALID_CONTENT_TYPE

Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header X-Content-Type-Options den richtigen Wert fest.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Invalid header

Kategoriename in der API: INVALID_HEADER

Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Mismatching security header values

Kategoriename in der API: MISMATCHING_SECURITY_HEADER_VALUES

Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Misspelled security header name

Kategoriename in der API: MISSPELLED_SECURITY_HEADER_NAME

Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Mixed content

Kategoriename in der API: MIXED_CONTENT

Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Outdated library

Kategoriename in der API: OUTDATED_LIBRARY

Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu korrigieren.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A9 A06

Server side request forgery

Kategoriename in der API: SERVER_SIDE_REQUEST_FORGERY

Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

Nicht zutreffend A10

Session ID leak

Kategoriename in der API: SESSION_ID_LEAK

Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzung des Nutzers ID im Referer-Anfrageheader. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A2 A07

SQL injection

Kategoriename in der API: SQL_INJECTION

Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Um dieses Ergebnis zu lösen, verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Benutzereingaben die Struktur des SQL- Abfrage.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A1 A03

Struts insecure deserialization

Kategoriename in der API: STRUTS_INSECURE_DESERIALIZATION

Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A8 A08

XSS

Kategoriename in der API: XSS

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03

XSS angular callback

Kategoriename in der API: XSS_ANGULAR_CALLBACK

Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Lösung Nicht vertrauenswürdige, von Nutzern bereitgestellte Daten, die von Angular verarbeitet werden, finden, validieren und maskieren Framework.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03

XSS error

Kategoriename in der API: XSS_ERROR

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Bis dieses Ergebnis aufzuklären, zu validieren und nicht vertrauenswürdige, von Nutzern bereitgestellte Daten zu maskieren.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03

XXE reflected file leakage

Kategoriename in der API: XXE_REFLECTED_FILE_LEAKAGE

Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann den um eine Datei auf dem Host zu lecken. Konfigurieren Sie Ihren XML-Code, um dieses Ergebnis zu beheben. Parser verwenden, um externe Entitäten nicht zuzulassen.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A4 A05

Prototype pollution

Kategoriename in der API: PROTOTYPE_POLLUTION

Die Anwendung ist anfällig für Prototypenverschmutzung. Diese Sicherheitslücke tritt auf, wenn den Eigenschaften des Object.prototype-Objekts Werte zugewiesen werden können, die von Angreifern gesteuert werden. Es wird allgemein davon ausgegangen, dass Werte, die in diese Prototypen eingefügt werden, zu Cross-Site-Scripting oder ähnlichen clientseitigen Sicherheitslücken sowie zu logischen Programmfehlern führen.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A1 A03

Dienste zur Bedrohungserkennung

Zu den Diensten zur Bedrohungserkennung gehören integrierte und eingebundene Dienste, die Ereignisse erkennen, die auf potenziell schädliche Ereignisse hinweisen, z. B. manipulierte Ressourcen oder Cyberangriffe.

Anomalieerkennung

Die Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale von außerhalb Ihres Systems verwendet. Es werden detaillierte Informationen zur Sicherheit angezeigt. Anomalien, die in Ihren Projekten und VM-Instanzen erkannt wurden, z. B. als potenziell gehackte Anmeldedaten. Anomalieerkennung ist automatisch aktiviert, wenn Sie Security Command Center Standard oder Premium-Stufe und Ergebnisse sind in der Google Cloud Console verfügbar.

Die Ergebnisse der Anomalieerkennung umfassen Folgendes:

Anomaliename Ergebniskategorie Beschreibung
Account has leaked credentials account_has_leaked_credentials

Anmeldedaten für ein Google Cloud-Dienstkonto sind versehentlich oder kompromittiert wurden.

Schweregrad:Kritisch

Konto hat Anmeldedaten gestohlen

GitHub hat Security Command Center darüber informiert, dass die Anmeldedaten die für ein Commit verwendet wurden, scheinen die Anmeldedaten Google Cloud Identity and Access Management-Dienstkonto.

Die Benachrichtigung enthält den Namen des Dienstkontos und die Kennung des privaten Schlüssels. Google Cloud sendet auch Ihre fester Ansprechpartner für Sicherheit und Datenschutz sendet eine Benachrichtigung per E-Mail.

Führen Sie einen oder mehrere der folgenden Schritte aus, um das Problem zu beheben:

  • Ermitteln Sie den legitimen Nutzer des Schlüssels.
  • Rotieren Sie den Schlüssel.
  • Entfernen Sie den Schlüssel.
  • Prüfen Sie alle Aktionen, die mit dem Schlüssel ausgeführt wurden, nachdem er gehackt wurde, um sicherzustellen, dass keine der Aktionen böswillig war.

JSON: Ergebnis gehackter Kontoanmeldedaten

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection kann die gängigsten Containerlaufzeitangriffe erkennen und Sie benachrichtigen in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und führt eine Natural Language Processing für Code aus, um die folgenden Ereignisse zu erkennen:

  • Added Binary Executed
  • Added Library Loaded
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Malicious Script Executed
  • Malicious URL Observed
  • Reverse Shell
  • Unexpected Child Shell

Weitere Informationen zu Container Threat Detection.

Event Threat Detection

Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es sieht an Cloud Logging-Stream für Projekte und Nutzungen Protokolle, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe und Ergebnisse von Security Command Center sind verfügbar in der Google Cloud Console

Die folgende Tabelle enthält Beispiele für Ergebnisse der Event Threat Detection.

Tabelle C. Event Threat Detection-Typen
Vernichtung von Daten

Event Threat Detection erkennt die Datenvernichtung, indem Audit-Logs vom Server für die Verwaltung von Sicherungs- und Notfallwiederherstellungsdiensten für die folgenden Szenarien analysiert werden:

  • Löschen eines Back-up-Images
  • Löschen aller mit einer Anwendung verknüpften Sicherungs-Images
  • Sicherungs-/Wiederherstellungs-Appliance löschen
Daten-Exfiltration

Event Threat Detection erkennt die Daten-Exfiltration in BigQuery und Cloud SQL, indem Audit-Logs für die folgenden Szenarien analysiert werden:

  • Eine BigQuery-Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird.
  • Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.
  • Eine Cloud SQL-Ressource wird vollständig oder teilweise in einen Cloud Storage-Bucket außerhalb Ihrer Organisation bzw. in einen Bucket exportiert, der Ihrer Organisation gehört und öffentlich zugänglich ist.
  • Eine Cloud SQL-Sicherung wird auf einer Cloud SQL-Instanz außerhalb Ihrer Organisation wiederhergestellt.
  • Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Cloud Storage-Bucket außerhalb Ihrer Organisation oder in einen Bucket in Ihrer Organisation, der öffentlich zugänglich ist, exportiert.
  • Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Google Drive-Ordner exportiert.
Verdächtige Cloud SQL-Aktivität

Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen die auf die Manipulation eines gültigen Nutzerkontos Cloud SQL-Instanzen:

  • Einem Datenbanknutzer werden alle Berechtigungen Cloud SQL for PostgreSQL-Datenbank oder alle Tabellen, Prozeduren oder Funktionen in einem Schema.
  • Ein Cloud SQL-Standard-Datenbank-Superuser („postgres“) auf PostgreSQL-Instanzen oder „root“ auf MySQL-Instanzen) wird verwendet, auf nicht systemeigene Tabellen.
Verdächtige Aktivität in AlloyDB for PostgreSQL

Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen die auf die Manipulation eines gültigen Nutzerkontos AlloyDB for PostgreSQL-Instanzen:

  • Einem Datenbanknutzer werden alle Berechtigungen AlloyDB for PostgreSQL-Datenbank oder alle Tabellen, Prozeduren oder Funktionen in einem Schema.
  • Ein Superuser des AlloyDB for PostgreSQL-Standarddatenbankkontos („postgres“) wird verwendet, um in Nicht-Systemtabellen zu schreiben.
Brute-Force-SSH Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg.
Kryptomining Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains oder IP-Adressen von Mining-Pools untersucht werden.
IAM-Missbrauch

Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:

  • Hinzufügen eines gmail.com-Nutzers zu einer Richtlinie mit der Rolle des Projektbearbeiters.
  • Einladen eines gmail.com-Nutzers als Projektinhaber über die Google Cloud Console.
  • Dienstkonto, das vertrauliche Berechtigungen gewährt.
  • Benutzerdefinierte Rollen sensible Berechtigungen gewährt.
  • Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Beeinträchtigung der Systemwiederherstellung

Event Threat Detection erkennt anormale Änderungen an Sicherung und Notfallwiederherstellung, die sich auf die Sicherungsbereitschaft auswirken können, einschließlich wichtiger Richtlinienänderungen und das Entfernen kritischer Sicherungs- und Notfallwiederherstellungskomponenten.
Log4j Event Threat Detection erkennt mögliche Versuche der Ausnutzung von Log4j-Exploits sowie aktive Log4j-Sicherheitslücken.
Malware Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Ausgehender DoS Event Threat Detection untersucht VPC-Flusslogs, um den ausgehenden Denial-of-Service-Traffic zu erkennen.
Anomaler Zugriff Event Threat Detection erkennt anomalen Zugriff, indem sie Cloud-Audit-Logs für Google Cloud-Dienständerungen untersucht, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Anomales IAM-Verhalten Event Threat Detection erkennt anomales IAM-Verhalten, indem Cloud-Audit-Logs auf die folgenden Szenarien untersucht werden:
  • IAM-Nutzer- und -Dienstkonten, die über ungewöhnliche IP-Adressen auf Google Cloud zugreifen
  • IAM-Dienstkonten, die über ungewöhnliche User-Agents auf Google Cloud zugreifen
  • Hauptkonten und Ressourcen, die sich als IAM-Dienstkonten ausgeben, um auf Google Cloud zuzugreifen
Selbstuntersuchung des Dienstkontos Event Threat Detection erkennt, wenn Anmeldedaten eines Dienstkontos verwendet werden, um die mit diesem Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen.
Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt Event Threat Detection erkennt eine Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Vom Compute Engine-Administrator hinzugefügtes Startskript Event Threat Detection erkennt eine Änderung am Metadaten-Startskript der Compute Engine-Instanz auf einer bestehenden Instanz (älter als 1 Woche).
Verdächtige Kontoaktivitäten Event Threat Detection erkennt potenzielle Manipulationen von Google Workspace-Konten, indem Audit-Logs auf anomale Kontoaktivitäten untersucht werden, darunter gehackte Passwörter und verdächtige versuchte Anmeldungen.
Von einer Regierung unterstützter Angriff Event Threat Detection untersucht Audit-Logs von Google Workspace, um festzustellen, ob von staatlichen Stellen unterstützte Angreifer möglicherweise versucht haben, das Konto oder den Computer eines Nutzers zu kompromittieren.
Änderungen bei der Einmalanmeldung (SSO) Event Threat Detection prüft Audit-Logs von Google Workspace, um festzustellen, ob SSO deaktiviert ist oder die Einstellungen für Google Workspace-Administratorkonten geändert wurden.
Bestätigung in zwei Schritten Event Threat Detection untersucht Google Workspace-Audit-Logs, um zu erkennen, ob die Bestätigung in zwei Schritten für Nutzer- und Administratorkonten deaktiviert ist.
Anomales API-Verhalten Event Threat Detection erkennt anomales API-Verhalten, indem Cloud-Audit-Logs auf Anfragen an Google Cloud-Dienste untersucht werden, die ein Hauptkonto zuvor noch nicht gesehen hat.
Defense Evasion

Event Threat Detection erkennt Abwehrausweichung, indem Cloud-Audit-Logs für die folgenden Szenarien analysiert werden:

  • Änderungen an vorhandenen VPC Service Controls-Perimetern, die zu einer Reduzierung des angebotenen Schutzes führen würden.
  • Bereitstellungen oder Aktualisierungen von Arbeitslasten, bei denen das Break-Glass-Flag verwendet wird, um die Einstellungen für die Binärautorisierung zu überschreiben.Vorabversion
Discovery

Event Threat Detection erkennt Erkennungsvorgänge, indem Audit-Logs für die folgenden Szenarien analysiert werden:

  • Ein potenziell böswilliger Akteur hat versucht herauszufinden, sensible Objekte in GKE zu schützen, für die Abfrage festlegen, kubectl .
  • Die Anmeldedaten eines Dienstkontos werden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.
Anfänglicher Zugriff Event Threat Detection erkennt erste Zugriffsvorgänge Audit-Logs für die folgenden Szenarien untersuchen:
  • Ein inaktives nutzerverwaltetes Dienstkonto hat eine Aktion ausgelöst.Vorabversion
  • Ein Hauptkonto hat versucht, verschiedene Google Cloud-Methoden aufzurufen, was aber wiederholt aufgrund von Fehlern der Berechtigungsverweigerung fehlgeschlagen ist.Vorabversion
Rechteausweitung

Event Threat Detection erkennt die Rechteausweitung in GKE. Hierzu werden Audit-Logs für die folgenden Szenarien analysiert:

  • Zur Rechteausweitung hat ein potenziell böswilliger Akteur versucht, ClusterRole, RoleBinding oder ClusterRoleBinding ändern RBAC-Objekt (Role-Based Access Control) des vertraulichen cluster-admin-Objekts Rolle mithilfe einer PUT- oder PATCH-Anfrage.
  • Ein potenziell böswilliger Akteur hat ein Zertifikat der Kubernetes-Steuerungsebene erstellt Signaturanfrage (CSR) gesendet, mit der sie cluster-admin Zugriff haben.
  • Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
  • Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet.
  • Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Gruppen enthält Container oder Container mit Funktionen zur Rechteausweitung
Cloud IDS-Erkennungen Cloud IDS erkennt Layer-7-Angriffe durch Analyse gespiegelter Pakete Wenn ein verdächtiges Ereignis erkannt wird, wird eine Event Threat Detection ausgelöst. zu finden. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Informationen zum Cloud IDS-Logging. Vorschau
Seitliche Bewegung Event Threat Detection erkennt potenzielle Angriffe mit modifiziertem Bootlaufwerk. Dazu untersucht es in Cloud-Audit-Logs, ob Bootlaufwerke in Compute Engine-Instanzen häufig getrennt und wieder angehängt werden.

Weitere Informationen zu Event Threat Detection.

Google Cloud Armor

Google Cloud Armor trägt zum Schutz Ihres durch Layer-7-Filterung. Google Cloud Armor bereinigt eingehenden Traffic nach gängigen Webangriffen oder anderen Layer-7-Attributen, bevor er die Back-End-Dienste oder das Back-End mit Load-Balancing erreicht. Buckets.

Google Cloud Armor exportiert zwei Ergebnisse in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, ein integrierter Dienst der Premium-Version von Security Command Center, bietet Bedrohungserkennung durch Hypervisor-Instrumentierung und persistente Laufwerkanalyse. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Kryptowährung-Mining-Software, Rootkits im Kernelmodus und Malware, die in manipulierten Cloud-Umgebungen ausgeführt werden.

VM Threat Detection ist Teil der Bedrohungserkennung von Security Command Center Premium und wurde entwickelt, um die vorhandenen Funktionen Event Threat Detection und Container Threat Detection:

Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.

Bedrohungsergebnisse von VM Threat Detection

VM Threat Detection kann die folgenden Bedrohungsergebnisse generieren.

Ergebnisse zu Bedrohungen durch Kryptowährungs-Mining

VM Threat Detection erkennt die folgenden Ergebniskategorien durch Hash-Abgleich oder YARA-Regeln.

Bedrohungsergebnisse zum Mining von Kryptowährungen durch VM Threat Detection
Kategorie Modul Beschreibung
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Eine Bedrohung, die sowohl vom CRYPTOMINING_HASH- als auch vom CRYPTOMINING_YARA-Modul erkannt wurde. Weitere Informationen finden Sie unter Kombinierte Erkennungen.

Rootkit-Bedrohungsergebnisse im Kernelmodus

VM Threat Detection analysiert die Kernel-Integrität während der Laufzeit, um gängige Täuschverfahren zu erkennen die von Malware verwendet werden.

Das KERNEL_MEMORY_TAMPERING-Modul erkennt Bedrohungen durch einen Hash-Vergleich des Kernel-Codes und des schreibgeschützten Kernel-Datenspeichers einer virtuellen Maschine.

Das Modul KERNEL_INTEGRITY_TAMPERING erkennt Bedrohungen durch Prüfen die Integrität wichtiger Kernel-Datenstrukturen.

Rootkit-Bedrohungsergebnisse im Kernelmodus von VM Threat Detection
Kategorie Modul Beschreibung
Manipulation des Kernel-Arbeitsspeichers
Defense Evasion: Unexpected kernel code modificationVorschau KERNEL_MEMORY_TAMPERING Unerwartete Änderungen des Kernel-Codespeichers.
Defense Evasion: Unexpected kernel read-only data modificationVorschau KERNEL_MEMORY_TAMPERING Unerwartete Änderungen am schreibgeschützten Kernel-Datenspeicher.
Manipulation der Kernel-Integrität
Defense Evasion: Unexpected ftrace handlerVorschau KERNEL_INTEGRITY_TAMPERING ftrace Punkte mit Callbacks, die auf Regionen verweisen, die sich nicht in dieser Region befinden den erwarteten Kernel- oder Modulcodebereich.
Defense Evasion: Unexpected interrupt handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind Unterbrechungs-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
Defense Evasion: Unexpected kernel modulesVorschau KERNEL_INTEGRITY_TAMPERING Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
Defense Evasion: Unexpected kprobe handlerVorschau KERNEL_INTEGRITY_TAMPERING kprobe Punkte mit Callbacks, die auf Regionen verweisen, die sich nicht in dieser Region befinden den erwarteten Kernel- oder Modulcodebereich.
Defense Evasion: Unexpected processes in runqueueVorschau KERNEL_INTEGRITY_TAMPERING Es sind unerwartete Prozesse in der Ausführungswarteschlange des Schedulers vorhanden. Solche Prozesse befinden sich in der Warteschlange, aber nicht in der Prozessaufgabenliste.
Defense Evasion: Unexpected system call handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.
Rootkit
Defense Evasion: RootkitVorschau
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 Es ist eine Kombination von Signalen vorhanden, die mit einem bekannten Kernelmodus-Rootkit übereinstimmen. Damit Sie Ergebnisse dieser Kategorie erhalten, müssen beide Module aktiviert sein.

VM Threat Detection-Beobachtungsergebnis

VM Threat Detection kann das folgende Beobachtungsergebnis generieren.

Beobachtungsergebnisse von VM Threat Detection
Kategoriename API-Name Fazit Schweregrad
VMTD disabled VMTD_DISABLED

VM Threat Detection ist deaktiviert. Bevor dieser Dienst aktiviert wird, kann er Ihre Compute Engine-Projekte und VM-Instanzen nicht auf unerwünschte Anwendungen scannen.

Dieses Ergebnis wird nach 30 Tagen auf INACTIVE gesetzt. Danach wird dieses Ergebnis nicht noch einmal generiert.

Hoch

Fehler

Mithilfe von Fehlerdetektoren können Sie Fehler in Ihrer Konfiguration erkennen, die verhindern, dass Sicherheitsquellen Ergebnisse generieren. Fehlerergebnisse werden von der Security Command Center-Sicherheitsquelle generiert und haben die Ergebnisklasse SCC errors.

Unbeabsichtigte Aktionen

Die folgenden Ergebniskategorien stellen Fehler dar, die möglicherweise durch unbeabsichtigte Aktionen verursacht werden.

Unbeabsichtigte Aktionen
Kategoriename API-Name Fazit Schweregrad
API disabled API_DISABLED

Ergebnisbeschreibung: Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Kritisch
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Ergebnisbeschreibung: Konfigurationen für den Wert von Ressourcen sind für Angriffspfadsimulationen definiert, stimmen jedoch mit keiner Ressourceninstanz in Ihrer Umgebung überein. Bei den Simulationen werden die sind stattdessen standardmäßig hochwertige Ressourcen festgelegt.

Dieser Fehler kann folgende Ursachen haben:

  • Keine der Ressourcenwertkonfigurationen stimmt mit Ressourceninstanzen überein.
  • Eine oder mehrere Konfigurationen für den Wert von Ressourcen, in denen NONE angegeben ist, überschreiben alle anderen gültigen Konfigurationen.
  • Für alle definierten Konfigurationen von Ressourcenwerten wird der Wert NONE angegeben.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Simulation des Angriffspfads.

Dieses Ergebnis korrigieren

Kritisch
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Ergebnisbeschreibung: In den letzten Angriffspfadsimulation die Anzahl der Instanzen hochwertiger Ressourcen, wie vom Konfigurationen der Ressourcenwerte, das Limit von 1.000 Ressourceninstanzen in einem hochwertigen Ressourcensatz. Daher hat Security Command Center die überzähligen Instanzen aus dem Satz hochwertiger Ressourcen ausgeschlossen.

Die Gesamtzahl der übereinstimmenden Instanzen und die Gesamtzahl der ausgeschlossenen Instanzen. aus dem Satz werden im SCC Error-Ergebnis im Google Cloud Console

Die Angriffsrisikobewertungen für Ergebnisse, die sich auf ausgeschlossene Ressourceninstanzen auswirken, spiegeln nicht die Klassifizierung der Ressourceninstanzen als „hochwertig“ wider.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Simulation des Angriffspfads.

Dieses Ergebnis korrigieren

Hoch
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Ergebnis-Beschreibung: Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von gcr.io, dem Image-Host in Container Registry abgerufen (heruntergeladen) werden kann. Das Image ist erforderlich, um das DaemonSet für Container Threat Detection bereitzustellen, das für Container Threat Detection erforderlich ist.

Beim Versuch, das DaemonSet für Container Threat Detection bereitzustellen, ist der folgende Fehler aufgetreten:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Ergebnisbeschreibung: Container Threat Detection kann nicht in einem Kubernetes-Cluster aktiviert werden. Ein Zulassungs-Controller eines Drittanbieters verhindert die Bereitstellung eines Kubernetes-DaemonSet-Objekts, das für Container Threat Detection erforderlich ist.

In der Google Cloud Console enthalten die Details zur Feststellung die Fehlermeldung, die von der Google Kubernetes Engine zurückgegeben wurde, als versucht wurde, ein DaemonSet-Objekt für die Containerbedrohungserkennung bereitzustellen.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batchscans: Jede Woche

Dieses Ergebnis korrigieren

Hoch
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Ergebnisbeschreibung: Das für den kontinuierlichen Export nach Cloud Logging konfigurierte Projekt ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
VPC Service Controls Restriction VPC_SC_RESTRICTION

Ergebnisbeschreibung: Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Hoch
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt.

Preisstufe: Premium oder Standard

Unterstützte Assets

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch

Weitere Informationen finden Sie unter Security Command Center-Fehler.

Nächste Schritte